French 
English 
FAQ : Archivage et préservation électroniques qualifiés (QeA / QPres)
L'archivage électronique qualifié (QeA) est l'approche de service de confiance définie par l'eIDAS pour préserver les documents électroniques de manière défendable sur de longues périodes de conservation, avec des contrôles vérifiables, des mécanismes de preuve et une gouvernance claire.
Cette FAQ s'adresse aux organismes réglementés (et à leurs auditeurs, inspecteurs et équipes d'approvisionnement) qui ont besoin d'une conservation prête à l'emploi pour des documents tels que des contrats signés, des fichiers eTMF, des documents financiers et des archives d'entreprises réglementées. Les réponses font référence aux capacités de Docbyte Vault lorsque cela est pertinent.
For the commercial solution overview, see Docbyte qualified electronic archiving. For signed or sealed records, also see préservation des signatures et sceaux numériques.
Questions fondamentales
Qu'est-ce que le QeA au sens d'eIDAS ?
QeA est un concept de service de confiance en vertu du règlement (UE) n° 910/2014 (eIDAS), spécifiquement abordé à l'article 34 sur les services de conservation qualifiés pour les signatures électroniques qualifiées. En pratique, l'AQE est une approche basée sur des normes pour préserver les documents électroniques avec une intégrité, une authenticité, une gouvernance et une utilisabilité à long terme vérifiables. Les enregistrements restent défendables en cas d'audits, de litiges et d'inspections réglementaires pendant des décennies.
Quelle est la différence entre QeA et un archivage « classique » ?
L'archivage classique se concentre généralement sur le stockage et la récupération. Le QeA ajoute l'ingestion contrôlée et la provenance, les mécanismes de preuve (contrôles d'intégrité, enregistrements de preuves, horodatages), la gouvernance (rétention, mise en suspens légale, suppression défendable), les pistes d'audit et la planification de la préservation pour une utilisation à long terme. L'AQE est conforme aux normes eIDAS, ETSI TS 119 511/512, CEN TS 18170 et OAIS (ISO 14721). L'archivage régulier ne l'est généralement pas.
Qu'est-ce que le CEN TS 18170 et quelle est son importance ?
CEN TS 18170 est la spécification technique européenne qui fournit des exigences et des conseils pour les systèmes d'archivage électronique. Elle aborde les exigences fonctionnelles, techniques et organisationnelles des systèmes conçus pour préserver les documents électroniques ayant une valeur probante et de conformité. Pour les organisations européennes qui achètent ou évaluent des solutions d'archivage, CEN TS 18170 fournit une base de référence commune avec le cadre de services de confiance eIDAS.
Quelles sont les normes ETSI applicables à l'archivage qualifié ?
Les principales normes ETSI sont les suivantes : ETSI TS 119 511 (exigences en matière de politique et de sécurité pour les FST assurant la conservation à long terme des signatures numériques ou des données générales) et ETSI TS 119 512 (protocoles pour les services de conservation des données à long terme). L'ETSI définit également des formats de signature d'archives à long terme (CAdES-LTA (ETSI EN 319 122), XAdES-LTA (ETSI EN 319 132), PAdES-LTA et ASiC-LTA (ETSI EN 319 162)). Il s'agit de formats de conteneurs de signature électronique qui peuvent intégrer des données de validation dans le fichier signé lui-même, et qui font partie d'un écosystème de normes plus large, parallèlement à l'approche de Docbyte en matière d'enregistrement de preuves.
Qu'est-ce que l'OAIS (ISO 14721) et quel est son rapport avec l'assurance qualité ?
OAIS (Open Archival Information System, ISO 14721) est le modèle de référence pour les systèmes de conservation numérique. Il définit le conditionnement SIP/AIP/DIP, la planification de la conservation, le concept de communauté désignée et les responsabilités fonctionnelles d'un service d'archives. Le QeA s'appuie sur les concepts de l'OAIS. Une archive compatible QeA est essentiellement un système conforme à OAIS avec des contrôles de service de confiance supplémentaires pour les preuves, les horodatages et la gouvernance exigés par eIDAS.
Questions techniques
Qu'est-ce que la préservation qualifiée (QPres) et quand est-elle nécessaire ?
QPres est la couche de preuve et de renouvellement nécessaire lorsque les documents portent des signatures ou des sceaux électroniques et qu'une vérifiabilité à long terme est requise. QeA fournit le cadre d'archivage ; QPres traite spécifiquement de la manière d'étendre la validité de la preuve et du rapport de validation. Lors de l'ingestion, QPres capture l'état de validation de la signature ou du sceau : la chaîne de certificats, l'état de révocation (OCSP) et un horodatage qualifié. Cet enregistrement de preuve est stocké avec l'enregistrement archivé. Avant que les algorithmes ou les certificats ne risquent d'expirer, QPres renouvelle la chaîne de preuves de manière proactive, prolongeant ainsi sa validité sans altérer l'enregistrement original signé.
Que se passe-t-il lorsque les certificats expirent ?
En l'absence d'enregistrements de preuves, un enregistrement signé peut devenir invérifiable après l'expiration de son certificat. Une approche QPres capture les preuves de validation (chaînes de certificats, réponses OCSP, horodatages qualifiés) à un moment où tout est encore valide, stocke ces preuves avec l'enregistrement archivé en tant que rapport de validation et enregistrement de preuve, et renouvelle la chaîne de preuves avant qu'elle ne risque d'expirer. Cela permet de maintenir une chaîne de confiance ininterrompue pendant toute la durée de conservation.
Les signatures et les sceaux électroniques sont-ils "sûrs" si je me contente de stocker le PDF ?
Stocker le PDF en toute sécurité est nécessaire mais pas suffisant. Avec le temps : les certificats expirent, les algorithmes cryptographiques sont obsolètes, un contexte manquant ou des preuves incomplètes affaiblissent ce que vous pouvez prouver. QPres répond à tous ces problèmes en préservant les preuves nécessaires à la validation future, et pas seulement les octets du fichier. Cette distinction est essentielle pour les documents réglementés dont la durée de conservation est longue.
Qu'est-ce qu'un dossier de preuves et pourquoi est-il important ?
Les enregistrements de preuves sont des ensembles structurés qui capturent l'état de validation d'un enregistrement signé/scellé à un moment précis : la chaîne de certificats, l'état de révocation (OCSP/CRL), les horodatages qualifiés et le résultat de la validation de la signature. Ils sont intégrés dans des formats d'archivage à long terme ou stockés avec le document. En l'absence d'enregistrements de preuves, la validation future dépend de l'accessibilité de l'infrastructure d'origine (autorités de certification, services OCSP). Ce ne sera peut-être plus le cas après 10 à 25 ans.
Quelle est la différence entre la conservation numérique et l'assurance qualité ?
La conservation numérique (OAIS) se concentre sur la facilité d'utilisation et l'intégrité à long terme : garder les documents lisibles, authentiques et accessibles au fil du temps, y compris la migration de format et la surveillance de la fixité. Le QeA ajoute la couche de service de confiance : enregistrements de preuves, horodatages qualifiés, contrôles alignés sur l'eIDAS et gouvernance conforme à la norme CEN TS 18170. Pour les documents sans signature électronique, la conservation numérique seule peut être suffisante. Pour les documents avec signatures/sceaux, QeA/QPres ajoute la couche de preuve juridiquement défendable.
Questions de gouvernance et de conformité
Quel est le lien entre l'assurance qualité et le GDPR ?
Le GDPR et le QeA prévoient des obligations complémentaires. Le GDPR exige une base légale pour la conservation, la minimisation des données, la limitation de la finalité et le droit à l'effacement. L'assurance qualité fournit les contrôles nécessaires pour une conservation et un effacement justifiables : il s'agit de démontrer que les enregistrements ont été conservés pendant la bonne durée, dans le cadre de la bonne politique, avec les bonnes approbations, et qu'ils ont été effacés lorsqu'ils n'étaient plus nécessaires. Une archive qualifiée doit supporter ces deux obligations.
Comment fonctionne la conservation dans un archive qualifié ?
Les règles de conservation sont basées sur des politiques et appliquées de manière cohérente à tous les types de documents. Les mises en suspens légales permettent de suspendre la suppression lorsque les documents font l'objet d'une enquête, d'un litige ou d'une procédure judiciaire, avec une traçabilité complète des décisions de mise en suspens, des personnes qui les ont appliquées et de la date à laquelle elles ont été levées. La suppression défendable signifie que vous pouvez prouver ce qui a été supprimé, quand, par qui, sous quelle politique et avec quelles approbations.
Quelles sont les réglementations sectorielles qui exigent un archivage QeA ou équivalent ?
Les principales réglementations sont les suivantes : MiFID II / MiFIR (dossiers financiers jusqu'à 7 ans), DORA (gestion des dossiers TIC), ICH E6 R2/R3 et FDA 21 CFR Part 11 (dossiers cliniques jusqu'à 25 ans, exigences ALCOA+), Annexe 11 de l'UE / GxP (dossiers électroniques dans la fabrication réglementée), GDPR (conservation et effacement légaux), et législation nationale sur l'archivage (y compris la loi belge sur l'e-Archive). Les contrôles exacts requis dépendent de la réglementation, de la juridiction et du cas d'utilisation.
Comment l'assurance qualité s'applique-t-elle aux documents relatifs aux sciences de la vie (eTMF, GxP) ?
Les documents relatifs aux sciences de la vie (Trial Master Files, dossiers de lots, documentation de validation, carnets de laboratoire) doivent répondre aux principes ALCOA+ (Attribuable, Lisible, Contemporain, Original, Précis) et rester récupérables et vérifiables pendant 25 ans ou plus. L'AQE fournit le cadre nécessaire à l'archivage de ces documents avec un contexte complet, des preuves d'intégrité et des pistes d'audit. QPres est pertinent lorsque les documents portent des signatures électroniques ou des sceaux conformément à la norme FDA 21 CFR Part 11 ou à l'annexe 11 de l'UE.
Questions pratiques
Le QeA garantit-il l'admissibilité juridique ?
L'AQE soutient la position de défense juridique la plus forte possible en fournissant des contrôles vérifiables, des enregistrements de preuves, une documentation sur la chaîne de contrôle et des pistes d'audit conformes à eIDAS, ETSI, CEN TS 18170 et aux normes applicables. Les effets juridiques exacts dépendent de la juridiction, du cas d'utilisation et de la manière dont les preuves sont évaluées dans le contexte juridique concerné. Docbyte vise la défendabilité et non des garanties absolues d'admissibilité. Aucun fournisseur ne peut les garantir.
Quels sont les types de documents qui bénéficient le plus de l'assurance qualité ?
Documents soumis à de longs délais de conservation, à des exigences de preuve ou à des signatures/sceaux électroniques : contrats et avenants, factures et documents financiers, dossiers relatifs aux ressources humaines et à l'emploi, dossiers d'assurance et de souscription, décisions et autorisations du secteur public, dossiers d'essais cliniques (eTMF), collections patrimoniales, archives des demandes de retraite, et tout document utilisé pour démontrer la conformité à la réglementation.
Pouvons-nous exporter des données pour des audits, des migrations ou des changements de fournisseur ?
Oui. Le conditionnement basé sur des normes (E-ARK SIP/AIP/DIP) et les capacités d'exportation permettent une récupération contrôlée des documents avec leur contexte complet, leurs métadonnées et leurs éléments de preuve. Cela permet de faciliter l'audit, l'eDiscovery et de réduire le risque de verrouillage des fournisseurs. Une archive qualifiée ne doit pas créer de situation d'otage des données.
Comment les auditeurs et les régulateurs accèdent-ils aux documents archivés ?
Grâce à un accès contrôlé, en lecture seule, avec des autorisations basées sur les rôles, une limitation de l'objectif, des autorisations limitées dans le temps si nécessaire, et des journaux d'audit complets. Les modèles d'accès externe permettent aux régulateurs, aux inspecteurs et aux auditeurs externes d'examiner les documents sans accéder aux systèmes opérationnels ou à l'infrastructure interne.
L'AQE est-elle pertinente en dehors de l'UE ?
Le cadre eIDAS est spécifique à l'UE, mais les contrôles sous-jacents (intégrité, authenticité, vérifiabilité, utilisabilité à long terme) sont reconnus au niveau mondial. OAIS (ISO 14721), ISO 14641, PREMIS et E-ARK sont des normes utilisées au niveau international. Pour les organisations opérant à l'échelle mondiale, QeA fournit la couche de conformité à l'UE, tandis que l'architecture basée sur OAIS répond aux exigences internationales plus larges en matière de préservation.
Prochaine étape
Si vous souhaitez adapter les contrôles QeA et QPres à vos types d'enregistrements spécifiques, à vos obligations de conservation et à votre contexte réglementaire, demandez une brève session avec un spécialiste Docbyte. Docbyte Vault est conçu comme un cycle de vie de conservation aligné sur OAIS et compatible avec eIDAS, et non comme une couche de stockage.